Přejít k obsahu webu
13.1.2020 / kaldy123

CA decomission

https://support.microsoft.com/en-ca/help/889250/how-to-decommission-a-windows-enterprise-certification-authority-and-r

How to decommission a Windows enterprise certification authority and remove all related objects
When you uninstall a certification authority (CA), the certificates that were issued by the CA are typically still outstanding. If the outstanding certificates are processed by the various Public Key Infrastructure client computers, validation will fail, and those certificates will not be used.
support.microsoft.com

CA-Decomision.pdf

2.1.2020 / kaldy123

DHCP Relay, DHCP Relay Agent

Scénář 1: vytvoříme subnet, nechceme v něm instalovat a konfigurovat DHCP server, ale chceme automatické přidělování IP adres

Scénář 2: ve dvou subnetech chceme DHCP failover, s tím, že failover DHCP server bude vždy ten v náprotivném subnetu

Situace 1: máme router, který má funkci DHCP relay. Takovým routerem může být Windows Server (W2008 +) – i když je to jakkoli nepravděpodobná konfigurace.

Příklad takové konfigurace je např. na:
https://campus.barracuda.com/product/cloudgenfirewall/doc/79462816/how-to-configure-the-dhcp-relay-agent/

Situace 2: router NEMÁ funkci DHCP relay. Pak lze použít DHCP relay agent (Windows Server 2016 +).

Příklad takové konfigurace je např. na:
https://www.itechguides.com/dhcp-relay-agent-configuration-in-windows-server-2016/

Selbstverständlich: na DHCP serveru musíte mít nadefinované minimálně dva scoupy (scope), pro každý subnet alespoň jeden.

 

19.12.2019 / kaldy123

Java Script a z-Index

Konec roku. Webová stránka by chtěla PF-ku. Tak jsem ji tam dal. Skoro přes celou stránku. A aby zmizela při přejetí myší, taxem upravil IMG tag:

<img style="position: absolute; top: 25px; left: 50%; margin-left: -350px; 
width: 700px; zindex: 5;" src="images/pf2020kaldy.jpg" name="pfka" 
onmouseover="document.pfka.style.zindex='-1'">

Co si myslíte, že se stalo? Jezdím myší jako Fittipaldi – a nic.

Ona je ta svině case-sensitive ! Napsal jsem tedy:

<img style="position: absolute; top: 25px; left: 50%; margin-left: -350px; 
width: 700px; zindex: 5;" src="images/pf2020kaldy.jpg" name="pfka" 
onmouseover="document.pfka.style.zIndex='-1'">

a bylo vymalováno!

Klíčová slova: IIS, JavaScript, z-Index

4.12.2019 / kaldy123

StorageSpaces Direct (S2D) Disks in Maintenance Mode

https://support.microsoft.com/en-us/help/4043361/disks-in-maintenance-mode-status-after-september-cumulative-update-kb

Pokud by odkaz výše nefungoval, vytiskl jsem stránku do PDF: S2D-disk-in-maintenance-mode.pdf

Get-PhysicalDisk | ? OperationalStatus -eq "In Maintenance Mode" | Disable-StorageMaintenanceMode

Klíčová slova: Storage Spaces Direct, S2D

24.11.2019 / kaldy123

Název systému a verze

Abych se neumačkal myší:

Get-ItemProperty -Path "HKLM:\software\Microsoft\Windows nt\currentversion"

 

Product Name a Product ID

 

24.11.2019 / kaldy123

Nastavení TLS šifrování v IE (group policy)

Příznaky: … chybová hláška… „váš prohlížeč nemá nastavené šifrovací protokoly TLS 1.2 nebo TLS 1.1“

Rozdíly: mezi šifrovacími metodami SSL 3.0, TLS 1.0, TLS 1.1, … TLS 1.3 naleznete např:
https://www.globalsign.com/en/blog/ssl-vs-tls-difference/

Nastavení růčo:

Nastavení SSL/TLS v IE11.0

Je to jednoduché, ale ne trvalé a pokud máte více než 2 počítače je to na infarkt. Takže politiky (pokud lokální, máte trvalé nastavení pro 1 počítač, takže gpedit.msc). Pro doménu pak Group Policy Management.

Politiku doporučuji vytvořit zvlášť pro nastavení IE11 (v ní popř. další nastavení IE11). Samotné nastavení pak najdete na

Computer Configuration / Policies / Administrative Templates…. / Windows Components / Internet Explorer / Internet Control Panel / Advanced Page / Turn off encryption support

Computer Configuration / Policies / Administrative Templates…. / Windows Components

……..

/ Internet Explorer / Internet Control Panel / Advanced Page / Turn off encryption support

……..

Turn off encryption support

……..

Výběr šifrovací metody

Závěr: Neřeším PROČ IE11, řeším JAK IE11. Nicméně, protože je to nastavení Internet (control panel), nastavení se promítá i do MS Edge.
V roce 2020 již RFC předpokládá nastavení TLS 1.3. Toto nastavení existuje ve Windows10 jako „experimental“ a administrative templates jej nemají vůbec. Nezbývá než doufat, že do té doby vydá MS upravenou sadu šablon.
Klíčová slova: IE11, Edge, SSL 3.0, TLS 1.1, TLS 1.2, cryptographic protocols, Secure Socket Layers, Transport Layer Security

20.10.2019 / kaldy123

Jaxprovozním restored db drahy

  1. ssms – spustím sql management srudio
  2. na db vyhledám příslušného úsera
  3. v rámci minimálních oprávnění mu přidělím implicitní profile guest (dbo není nutný)
  4. úserovi zajistím členství v db_readers, db_writers a qůli stored procedures taky db_owners.

Vše.

8.10.2019 / kaldy123

Tudy ne, přátelé!

Tento příspěvek se nese v duchu Zimmermanovského hledání slepých cest.
Vychází z mé rostoucí obliby Windows 2012R2 server v minimální konfiguraci, což je něco mezi Core a Desktop experience… Stále více serverů mi takto běží zejména na virtuálkách – šetřím místo a dá se to snadno ovládat…

Samozřejmě, nelze to použít všude (proč – to je jiná otázka a míří na pány programátory). Jedna z takových slepých cest je použití W2012R2 server minimal interface jako server pro Backup Exec. V mém případě jsem vyšel z plné instalace, nainstaloval a zprovoznil BE – a odebral Server-Gui-Shell.

Po restartu a spuštění BE to vypadá takto (chvíli nutno počkat):

Kliknutím lze zvětšit.

Když počkáte ještě chvíli, Backup Exec Crash Debug Tool dokončí svoji práci a Backup Exec skončí.

Tudy tedy ne, přátelé!

25.4.2019 / kaldy123

Mapování file share z Azure – Linux

Tato finta se sejde, pokud chcete něco nakopírovat na Linuxový server, který máte v Azure a nechce se vám instalovat samba server na Linuxu. Kopírování provedete přes file share v Azure….

V linuxovém systému to chce mít nainstalovaného klienta samby:

sudo apt-get update
sudo apt-get install smbclient

Jak jej namapovat? Ano, portál nabízí něco příkazů, jak tak učinit, ale má to 2 vady:

  1. je tam drobná chyba – a vůbec mi to v Ubuntu bez úprav nefungovalo.
  2. vytvoří se persistentní (trvalé) mapování -což není vždy žádoucí. Navíc: odstranění mapování je pracné.

Proto se mi více líbí dočasné mapování, které po restartu automaticky zanikne:

mkdir /mnt/MyAzureFileShare
sudo mount -t cifs //<storage-account-name>.file.core.windows.net/<share-name> /mnt/MyAzureFileShare -o vers=3.0,username=<storage-account-name>,password=<storage-account-key>,dir_mode=0777,file_mode=0777,serverino

Pak již stačí se podívat, zda je vše v pořádku:

ls /mnt/MyAzureFileShare
16.4.2019 / kaldy123

Storage Spaces Direct

nejdříve si uveďme několik pojmů:

  1. Storage Spaces na single serveru
  2. Storage Spaces na sdílených SCSI discích v rámci clusteru
  3. Storage Spaces Direct – označovaný též S2D – vytvoření Storage Spaces na DAS discích nodů. T.J. disky nejsou  sdílené ostaními nody clusteru, sdílení dat se koná mechanizmem v rámci clusteru. Pro Mirror potřebujete alespoň 2 nody, pro Three Way Mirror 3 nody, pro paritu alespoň 4, atd…
    Feature zavedená ve Windows Serveru 2016 (a výše).

Poté, co nainstalujete role/feature: Failover Cluster a File Server – zformujete failover cluster. Na jednom z nodů pak vytvoříte Storage Spaces Direct přes Powershell (graficky to asi nejde). Příkaz:

Enable-ClusterStorageSpacesDirect -CimSession "ClusterName" -PoolFriendlyName "StoragePoolName"

nebo ve zkrácené formě

Enable-ClusterS2D -CimSession "ClusterName" -PoolFriendlyName "StoragePoolName"

Ty příkazy mají vícero parametrů, ale jejich použití doporučuju nastudovat na Technetu. V Helpu mě zaskočil parametr -Cluster, ale věřte mi, takový tam není (alespoň v době psaní článku), já použil pro zadání NETBIOS jména clusteru parametr -CimSession.
VirtualDisk a Volume na něm si snadno zkonfigurujete z konzoly FileoverClusteru.

Higly Available sdílený disk máte vytvořen, a je na vás, pro jakou roli clusteru jej použijete – zda pro File Server, Scale-Out server nebo jako disk či úložiště pro virtuální stroj.

Zrušení Storage Spaces Direct provedete příkazem

Disable-ClusterStorageSpacesDirect -CimSession "ClusterName"

kde o parametrech -Cluster a -CimSession platí to samé co u Enable-ClusterS2D.

Za zmínku ještě stojí vyčištění disků – ClusterS2D je zanechá ve stavu, kdy přes Disk Management toho na nich moc nenakouzlíte. Na webu jsem našel hezký fragment PS kódu, který si v PS ISE snadno přizpůsobíte:

# Fill in these variables with your values
$ServerList = "Server01", "Server02", "Server03", "Server04"

Invoke-Command ($ServerList) {
    Update-StorageProviderCache
    Get-StoragePool | ? IsPrimordial -eq $false | Set-StoragePool -IsReadOnly:$false -ErrorAction SilentlyContinue
    Get-StoragePool | ? IsPrimordial -eq $false | Get-VirtualDisk | Remove-VirtualDisk -Confirm:$false -ErrorAction SilentlyContinue
    Get-StoragePool | ? IsPrimordial -eq $false | Remove-StoragePool -Confirm:$false -ErrorAction SilentlyContinue
    Get-PhysicalDisk | Reset-PhysicalDisk -ErrorAction SilentlyContinue
    Get-Disk | ? Number -ne $null | ? IsBoot -ne $true | ? IsSystem -ne $true | ? PartitionStyle -ne RAW | % {
        $_ | Set-Disk -isoffline:$false
        $_ | Set-Disk -isreadonly:$false
        $_ | Clear-Disk -RemoveData -RemoveOEM -Confirm:$false
        $_ | Set-Disk -isreadonly:$true
        $_ | Set-Disk -isoffline:$true
    }
    Get-Disk | Where Number -Ne $Null | Where IsBoot -Ne $True | Where IsSystem -Ne $True | Where PartitionStyle -Eq RAW | Group -NoElement -Property FriendlyName
} | Sort -Property PsComputerName, Count

Klíčová slova: Storage Spaces Direct, S2D